Wie China einen einzigartigen Cyber-Spionage-Giganten aufgebaut hat, der Bestand haben wird

Menschen auf den höchsten Machtebenen in China wissen die Bedeutung von Cyber-Fähigkeiten zu schätzen. Der CEO von Qihoo 360, dem größten Cybersicherheitsunternehmen des Landes, kritisierte bekanntermaßen im Ausland arbeitende chinesische Forscher und bat sie, „in China zu bleiben“, um den „strategischen Wert“ der mächtigen Software-Schwachstellen zu verstehen, die in Cyber-Spionagekampagnen verwendet werden. Innerhalb weniger Monate wurde seine Firma angegliedert eine Hacker-Kampagne gegen die uigurische Minderheit im Land.

Es folgte eine Welle strengerer Vorschriften, die die staatliche Aufsicht über den Cybersicherheitssektor verschärften und staatlichen Sicherheits- und Geheimdiensten Vorrang vor allem anderen einräumten – einschließlich Unternehmen, deren Software unsicher ist.

„Die Chinesen haben ein einzigartiges System, das das autoritäre Modell des Parteienstaats widerspiegelt“, sagt Dakota Cary, Analystin am Georgetown Center for Security and New Technologies.

Chinesischen Cyberforschern ist es tatsächlich verboten, an internationalen Hacking-Events und -Wettbewerben teilzunehmen, Turnieren, die sie einst dominierten. Der Hackerwettbewerb, bei dem einige der weltweit führenden Sicherheitsforscher gegeneinander antreten, um mächtige Schwachstellen in der weltweit beliebtesten Technologie wie dem iPhone, Tesla oder sogar den Arten von Mensch-Maschine-Schnittstellen zu finden und auszunutzen, die beim Betrieb moderner Fabriken helfen . Hunderttausende von Dollar an Belohnungen ermutigen die Menschen, Sicherheitslücken zu identifizieren, damit sie sie beheben können.

Wenn chinesische Forscher nun aber zu internationalen Wettbewerben gehen wollen, brauchen sie eine Genehmigung, die selten erteilt wird. Und sie müssen zunächst alles an Regierungsbehörden übergeben – einschließlich aller Kenntnisse über Software-Schwachstellen, die sie ausnutzen könnten. Kein anderer Staat übt eine so strenge Kontrolle über eine so große und talentierte Klasse von Sicherheitsforschern aus.

Dieses Mandat wurde verlängert mit regelungsbedürftig Alle Software-Sicherheitslücken sollten zuerst der Regierung gemeldet werden, wodurch chinesische Beamte unvergleichlich frühes Wissen erhalten, das für defensive oder offensive Hacking-Operationen genutzt werden kann.

„Jede Schwachstellenforschung durchläuft einen bestandsbasierten Prozess, bei dem die chinesische Regierung das Vorkaufsrecht erhält“, sagt Adam Meyers, Senior Vice President of Intelligence bei der Cybersicherheitsfirma CrowdStrike. „Sie können wählen, was sie damit tun, was ihre Sichtbarkeit in der durchgeführten Forschung und ihre Fähigkeit, Nutzen aus all dem zu ziehen, wirklich erhöht.“

Wir haben eine Ausnahme von dieser Regel gesehen: Ein Mitarbeiter des chinesischen Cloud-Computing-Giganten Alibaba berichtete über das berühmte Log4j-Schwachstelle Entwickler in Apache, anstatt es zuerst an chinesische Regierungsbehörden zu liefern. Das Ergebnis war die Öffentlichkeit Bestrafung Alibaba und eine implizite Warnung an alle anderen, die einen ähnlichen Schritt in Betracht ziehen.

Die strengere chinesische Politik wirkt sich auch außerhalb des Landes aus.

In den letzten zehn Jahren hat das Bug-Bounty-Modell Millionen von Dollar bereitgestellt, um ein globales Ökosystem von Forschern aufzubauen, die Sicherheitslücken in Software finden und sie dafür bezahlen, sie zu melden. Mehrere US-Unternehmen veranstalten Märkte, auf denen jedes Technologieunternehmen seine Produkte im Austausch gegen Auszeichnungen für Forscher testen kann.

In jeder Hinsicht steht China an der Spitze oder nahe der Spitze, wenn es darum geht, US-Unternehmen auf die Schwachstellen ihrer Software aufmerksam zu machen. In seiner Aussage vor dem Kongress letzte Woche sagte Cary, ein namenloses großes US-Unternehmen habe ihm offenbart, dass chinesische Forscher im Jahr 2021 4 Millionen US-Dollar erhalten hätten. US-Unternehmen profitieren von der Beteiligung dieser chinesischen Forscher. Wenn Forscher einen Fehler melden, können Unternehmen ihn beheben. Dies ist der Status quo, seit die Award-Programme vor zehn Jahren immer beliebter wurden.

Da die chinesische Regierung jedoch die Kontrollen verschärft, liefert dieses Multimillionen-Dollar-Ökosystem nun eine stetige Menge an Software-Schwachstellen an die chinesischen Behörden – effektiv finanziert von Unternehmen und ohne Kosten für Peking.

„Chinas Politik, von Forschern zu verlangen, Schwachstellen an das Ministerium für Industrie und Informationstechnologie zu melden, schafft eine unglaublich wertvolle Palette von Softwaremöglichkeiten für den Staat“, sagt Cary. “Die Politik hat tatsächlich Forschung im Wert von mindestens 4 Millionen Dollar kostenlos gekauft.”

Roboter-Hacking-Spiele

Im Jahr 2016 gewann eine leistungsstarke Maschine namens Mayhem die Cyber ​​​​Grand Challenge, einen Cybersicherheitswettbewerb, der von der U.S. Agency for Advanced Defense Research Projects organisiert wurde.

Mayhem, das zu einem in Pittsburgh ansässigen Unternehmen namens ForAllSecure gehört, hat gewonnen, indem es Sicherheitslücken in Software automatisch erkennt, patcht und ausnutzt. Das Pentagon setzt jetzt Technologie in allen Zweigen des Militärs ein. Sowohl die defensiven als auch die offensiven Fähigkeiten waren für alle Zuschauer sofort ersichtlich – einschließlich der chinesischen Beamten.

DARPA hat seit 2016 kein ähnliches Programm gestartet. China hingegen hat mindestens sieben eingeführt.“Roboter-Hacking-Spiele„Wettkämpfe seit 2017, laut Carys Recherchen. Chinesische Akademiker, das Militär und Teams aus dem Privatsektor wurden von Wettbewerben angezogen, die vom chinesischen Militär überwacht werden. Offizielle Dokumente verknüpfen die automatisierte Erkennung von Software-Schwachstellen direkt mit chinesischen nationalen Zielen.

Als die Roboter-Hacking-Spiele begannen, sagte der CEO von Qihoo 360, dass automatisierte Schwachstellenerkennungstools ein „Kartenkiller“ für China seien.

„Wer auch immer die Technologie des automatischen Schwachstellen-Mining beherrscht, wird die erste Gelegenheit haben, das Netzwerk anzugreifen und zu verteidigen“, sagte er. Er behauptete, sein eigenes Unternehmen habe ein „vollständig autonomes, automatisiertes Schwachstellenerkennungssystem“ entwickelt, und behauptete, die Technologie sei ein „Killer der Netzwerksicherheit“.

Roboter-Hacking-Spiele sind ein Beispiel dafür, wie chinesische Beamte auf höchster Ebene den amerikanischen Erfolg sehen und ihn dann geschickt zu ihrem eigenen machen konnten.

„China hat das amerikanische System immer wieder neu studiert, seine besten Attribute kopiert und in vielen Fällen seinen Umfang und seine Reichweite erweitert“, sagt Cary.

Da die Rivalität zwischen den USA und China weiterhin als bestimmende geopolitische Beziehung des 21. Jahrhunderts fungiert, wird Cyber ​​eine wichtige Rolle in dem spielen, was die chinesische Führung zu Recht als „neue Ära“ bezeichnet. Es berührt alles vom kommerziellen Wettbewerb bis hin zu technologischen Fortschritten und sogar Kriegsführung.

In dieser neuen Ära ist es Xis Ziel, China zu einer „Cyber-Supermacht“ zu machen. Auf jeden Fall ist es ihm gelungen.

Leave a Comment